OpenVPN tiene todas las funciones de una VPN (Red Privada Virtual) con SSL (Protocolo de capa de conexión segura) el cual implementa las extensiones de red segura en Capa 2 y 3 del modelo OSI usando los protocolos estándares en la industria SSL/TLS (Seguridad de la capa de Transporte), soporta métodos de
CAPÍTULO III. DISEÑO DE LA SOLUCIÓN.
64 autentificación de clientes flexible basado en certificados, tarjetas inteligentes, o por credenciales simples usuario/contraseña, y permite implementar políticas de control de acceso ya sea un usuario o grupo específico usando reglas de firewall aplicadas a la interface virtual de la VPN. Utiliza el Puerto 1194/udp.
3.2.5. Servidor ISC DHCP3.
El protocolo de configuración dinámica de host DHCP (Dynamic Host Configuration Protocol) es un estándar TCP/IP que simplifica la administración de la configuración IP haciéndola automática. Un servidor gestiona la concesión de direcciones IP de un determinado segmento de red y mantiene una lista actualizada de la correspondencia entre estas direcciones IP y las direcciones MAC de los equipos que las han solicitado. En el protocolo DHCP, el servidor utiliza el puerto 67/udp y el cliente el 68/udp. DHCP3 server es la solución dentro del ambiente de desarrollo de Linux y es utilizado ampliamente.
En la arquitectura propuesta ayuda a identificar las direcciones MAC con una dirección IP privilegiada, en contexto con los niveles de servicios caracterizados por las clases definidas en el control de trafico con IPROUTE/Squid.
3.2.6. Squid.
Squid es un asesor de contenidos con soporte HTTP, HTTPS, FTP, etc. También reduce y controla el ancho de banda y mejora los tiempos de respuesta para el acceso a páginas web de uso frecuente almacenando temporalmente su contenido. Posee controles de acceso robustos y lo hace un gran acelerador web. Corre en múltiples sistemas operativos, incluyendo Windows y en entornos desarrollados bajo licencia GNU GPL.
Hace más por la conexión a Internet, y es usado por miles de proveedores de Internet en todo el mundo para proveer a sus usuarios con el mejor acceso posible a la Web. Optimiza el flujo de datos entre cliente y servidor limitando las tasas a determinado margen para mejorar el desempeño y almacena el contenido de uso frecuente para ahorrar ancho de banda.
Los sistemas con Squid implementado, pueden llegar a cuadriplicar la capacidad en las tasas de acceso de los Servidores Apache atrás de ellos, esto se hace visible cuando una gran fuente de tráfico es solicitado a una página web en particular desde otro sitio y se tiene montado un servidor de almacenamiento
CAPÍTULO III. DISEÑO DE LA SOLUCIÓN.
65 secundario y se redirige este tráfico a este, la eficiencia de esa página es casi del 200%, gracias al balance de carga soportado por Squid.
En la arquitectura propuesta ayuda a limitar las tasas de transferencia del enlace de descarga identificando el flujo por rangos de direcciones IP y asignándoles un ancho de banda correspondiente a su nivel de servicio.
3.2.7. Quagga
Quagga es una suite de software para el ruteo, proveyendo implementaciones de OSPFv2, OSPFv3, RIP v1 y v2 a plataformas Unix, particularmente a FreeBSD, Linux, Solaris y NetBSD.
La arquitectura de Quagga consiste en un demonio del núcleo Zebra, el cual actúa como una capa abstracta al kernel Linux y se presenta como una aplicación (Zserv API) sobre el flujo TCP a los clientes Quagga.
Son los clientes de Zserv los cuales implementan los protocolos de ruteo y comunican las actualizaciones de las rutas al demonio Zebra. Los clientes Zserv existentes son:
• Ospfd: implementa OSPFv2 • Ripd: implementa RIP v1 y V2 • Ospf6d: implementa OSPFv3 (IPv6) • Ripngd: implementa RIPng (IPv6)
• Bgpd: implementa BGPv4+ (incluye soporte a la familia de direcciones para multicast e IPv6).
Un sistema con Quagga instalado actúa como un enrutador dedicado. Con Quagga, la maquina intercambia información de ruteo con otros enrutadores usando protocolos de ruteo. Quagga usa esta información para actualizar la tabla de ruteo del kernel para que así los datos adecuados lleguen al lugar correcto. Se puede cambiar dinámicamente la configuración y se podría ver la información de la tabla de ruteo desde la interfaz terminal de Quagga.
Adicionalmente al soporte del protocolo de ruteo, Quagga puede configurar flags en las interfaces, direcciones a las interfaces y rutas estáticas. Si se tiene una pequeña red o una conexión xDSL, configurar el software de ruteo de Quagga es muy fácil. Lo único que se tiene que hacer es configurar las interfaces y poner unos pocos comandos acerca de rutas estáticas y/o rutas por default. Si la red es muy grande, o si la estructura de la red cambia frecuentemente, se podría sacar ventaja a el protocolo de ruteo dinámico ofrecido por Quagga como lo son los protocolos RIP, OSPF o BGP.
CAPÍTULO III. DISEÑO DE LA SOLUCIÓN.
66
3.2.8. BIND.
BIND (Berkeley Internet Name Domain, anteriormente: Berkeley Internet Name Daemon) es el servidor de DNS más comúnmente usado en Internet, especialmente en sistemas Unix, en los cuales es un Estándar de facto. Es patrocinado por la Internet Systems Consortium. BIND fue creado originalmente por cuatro estudiantes de grado en la University of California, Berkeley.
Una nueva versión de BIND (BIND 9) fue escrita desde cero en parte para superar las dificultades arquitectónicas presentes anteriormente para auditar el código en las primeras versiones de BIND, y también para incorporar DNSSEC (DNS Security Extensions). BIND incluye entre otras características importantes: TSIG, notificación DNS, nsupdate (actualización de nombres de dominio), IPv6, vistas, procesamiento en paralelo, y una arquitectura mejorada en cuanto a portabilidad. Es comúnmente usado en sistemas GNU/Linux. Utiliza el Puerto 53/UDP/TCP.
3.2.9. NETFILTER
Netfilter está disponible en el núcleo Linux, el cual permite interceptar y manipular paquetes de red. Permite realizar el manejo de paquetes en diferentes estados del procesamiento. Netfilter también se encarga de ofrecer herramientas libres para cortafuegos basados en Linux.
El componente más popular construido sobre Netfilter es iptables, una herramienta de cortafuegos que permite no solamente filtrar paquetes, sino también realizar traducción de direcciones de red (NAT) para IPv4 o mantener registros de log. El proyecto Netfilter no sólo ofrece componentes disponibles como módulos del núcleo sino que también ofrece herramientas de espacio de usuario y librerías. El nombre iptables se utiliza frecuentemente de forma errónea para referirse a toda la infraestructura ofrecida por el proyecto Netfilter. Sin embargo, el proyecto ofrece otros subsistemas independientes de iptables tales como el “connection tracking system” o sistema de seguimiento de conexiones, que permite encolar paquetes
para que sean tratados desde espacio de usuario. Iptables es un software disponible en prácticamente todas las distribuciones de Linux actuales.
CAPÍTULO III. DISEÑO DE LA SOLUCIÓN.
67
3.2.10.
Freeradius
RADIUS (acrónimo en inglés de Remote Authentication Dial-In User Server). Es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1812/UDP para establecer sus conexiones.
Cuando se realiza la conexión con un ISP mediante módem, DSL, cablemódem, Ethernet o Wi-Fi, se envía una información que generalmente es un nombre de usuario y una contraseña. Esta información se transfiere a un dispositivo Network Access Server (NAS) sobre el protocolo PPP (Protocolo Punto a Punto), quien redirige la petición a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la información es correcta utilizando esquemas de autenticación como PAP (Protocolo de Autentificación por contraseña), CHAP (Protocolo de autenticación por desafío mutuo) o EAP (Protocolo de autenticación extensible). Si es aceptado, el servidor autorizará el acceso al sistema del ISP y le asigna los recursos de red como una dirección IP, y otros parámetros como L2TP (Protocolo de túnel en capa 2), etc.
Una de las características más importantes del protocolo RADIUS es su capacidad de manejar sesiones, notificando cuando comienza y termina una conexión, así que al usuario se le podrá determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propósitos estadísticos.
RADIUS está definido en los RFC 2865 (autentificación y autorización) y RFC 2866 (accounting); existen muchos servidores RADIUS, tanto comerciales como de código abierto. Las prestaciones pueden variar, pero la mayoría pueden gestionar los usuarios en archivos de texto, servidores LDAP, bases de datos varias, etc. A menudo se utiliza SNMP para monitorear remotamente el servicio. En la arquitectura se implemento FreeRADIUS y este ayuda proporcionando una capa adicional para la autorización del uso de los recursos, se utilizo para interactuar con los demonios Hostapd y OpenVPN para la autenticación de los usuarios.
3.2.11.
Hostapd
Hostapd es un demonio de espacio de usuario para Punto de Acceso y servidor de autentificación. Implementa la administración del punto de acceso IEEE 802.11, servidor de autentificación IEEE 802.1X/WPA/WPA2/EAP, cliente RADIUS,
CAPÍTULO III. DISEÑO DE LA SOLUCIÓN.
68 servidor EAP, y servidor de autenticación RADIUS. La versión actual soporta los controladores HostAP, Madwifi y mac80211 en Linux y net80211 en FreeBSD. Hostapd está diseñado para ser un programa “demonio” que corre en Segundo plano y actúa como un componente control de autentificación.
Características WPA/IEEE 802.11i/EAP/IEEE 802.1X soportadas: • WPA-PSK ("WPA-Personal").
• WPA con EAP (con un servidor EAP integrado o con un servidor de autentificación RADIUS externo) ("WPA-Enterprise").
• Administrador de llaves CCMP, TKIP, WEP104, WEP40. • Soporte completo para WPA y IEEE 802.11i/RSN/WPA2.
• RSN (Robust Security Network): almacenamiento en cache para PMKSA
(Pairwise Master Key Security Association), pre-autenticación. • IEEE 802.11r, para la conectividad inalámbrica en movimiento.
• IEEE 802.11w, para la gestión de claves, cifrado y autenticación extendida como WPA2.
• Tarificación (RADIUS accounting)
• Servidor de autenticación RADIUS con EAP • WPS (Wi-Fi Protected Setup)
En la arquitectura propuesta participa dando acceso inalámbrico a los equipos móviles de forma que estos sean identificados como les corresponde. Hostapd interactúa con el demonio de FreeRADIUS, si este ultimo rechaza las credenciales el punto de acceso inalámbrico proporcionara los datos que se utilizaron para autenticarse y se guardaran en una base de datos montada en MySQL para su posterior análisis.
3.2.12.
Wireshark
Wireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, y como una herramienta didáctica para educación. Cuenta con todas las características estándar de un analizador de protocolos. La funcionalidad que provee es similar a la de tcpdump1, pero añade una interfaz gráfica y muchas opciones de organización y filtrado de información.
1 tcpdump es una herramienta en línea de comandos cuya utilidad principal es analizar el tráfico
que circula por la red. Existe una adaptación de tcpdump para los sistemas Windows que se llama WinDump.
CAPÍTULO III. DISEÑO DE LA SOLUCIÓN.
69 Así, permite ver todo el tráfico que pasa a través de una red (usualmente una red Ethernet, aunque es compatible con algunas otras) estableciendo la configuración en modo promiscuo. También incluye una versión basada en texto llamada tshark. Permite examinar datos de una red en vivo o de un archivo de captura salvado en disco. Se puede analizar la información capturada, a través de los detalles y sumarios por cada paquete. Wireshark incluye un completo lenguaje para filtrar lo que queremos ver y la habilidad de mostrar el flujo reconstruido de una sesión de TCP.
Wireshark es software libre, y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, incluyendo Linux, Solaris, FreeBSD, NetBSD, OpenBSD, y Mac OS X, así como en Microsoft Windows.
En la arquitectura propuesta se utilizo para monitorear el tráfico de la red de prueba con el propósito de demostrar el optimo desempeño de la gestión del enlace de carga.
3.2.13.
LAMPP
El acrónimo “LAMPP” se refiere a un conjunto de subsistemas de software necesarios para alcanzar una solución global, en este caso configurar sitios web o servidores dinámicos con un esfuerzo reducido.
LAMPP se consigue mediante la unión de las siguientes tecnologías:
• Linux, el sistema operativo; En algunos casos también se refiere a LDAP. • Apache, el servidor web;
• MySQL, el gestor de bases de datos;
• Perl, PHP, o Python, los lenguajes de programación.
La combinación de estas tecnologías es usada primariamente para definir la infraestructura de un servidor web, utilizando un paradigma de programación para el desarrollo. A pesar de que el origen de estos programas de código abierto no han sido específicamente diseñado para trabajar entre sí, la combinación se popularizó debido a su bajo coste de adquisición y ubicuidad de sus componentes (ya que vienen pre-instalados en la mayoría de las distribuciones Linux). Cuando son combinados, representan un conjunto de soluciones que soportan servidores de aplicaciones.
CAPÍTULO III. DISEÑO DE LA SOLUCIÓN.
70